Wireshark

Popularny, otwarty analizator ruchu sieciowego, który przechwytuje i szczegółowo prezentuje pakiety przesyłane w sieci.

Wireshark to darmowy, otwartoźródłowy analizator ruchu sieciowego (tzw. packet sniffer), który przechwytuje pakiety przelatujące przez interfejs sieciowy i rozkłada je na czynniki pierwsze — od nagłówków Ethernet, przez IP i TCP, aż po zawartość konkretnego protokołu aplikacyjnego. Krótko: pokazuje Ci dokładnie, co Twój komputer wysyła i odbiera, bajt po bajcie. Działa na Windowsie, Linuksie i macOS, a obsługuje setki protokołów. Dawniej nazywał się Ethereal — nazwę zmieniono na Wireshark w 2006 roku.

Jak to działa i do czego służy

Wireshark wpina się w kartę sieciową (na Windowsie przez sterownik Npcap, na Linuksie/macOS przez libpcap) i kopiuje przechodzące ramki. Każdy pakiet możesz kliknąć i zobaczyć w trzech panelach: listę pakietów, drzewo zdekodowanych warstw oraz surowe bajty w hex. Najmocniejsza broń to display filters — czyli filtry, które z tysięcy pakietów wyciągają dokładnie to, czego szukasz, np. http.response.code == 404 albo ip.addr == 192.168.1.10.

W praktyce używasz go, gdy aplikacja „nie działa” i nikt nie wie dlaczego: sprawdzasz, czy zapytanie w ogóle wyszło z maszyny, czy serwer odpowiedział, czy handshake TCP doszedł do skutku, czy DNS zwrócił sensowny adres. To także podstawowe narzędzie przy nauce sieci — widzisz na żywo, jak wygląda trójstronny handshake (SYN, SYN-ACK, ACK).

Przykład z praktyki

Załóżmy, że strona ładuje się wiecznie. Odpalasz Wireshark, wybierasz interfejs, w polu filtra wpisujesz tcp.port == 443 && ip.addr == 93.184.216.34 i obserwujesz. Widzisz wysłane SYN, ale brak SYN-ACK — wniosek: ruch nie dochodzi do serwera, prawdopodobnie blokuje firewall albo trasa jest zerwana. Przydaje się też funkcja Follow TCP Stream, która sklei całą rozmowę w jedną czytelną sesję. Gdy pracujesz na serwerze bez GUI, masz konsolową siostrę Wiresharka — tshark, np. tshark -i eth0 -f "port 53" łapie ruch DNS.

Na co uważać

  • Capture filter to nie display filter. Filtr przechwytywania (składnia BPF, np. port 80) decyduje, co w ogóle zostanie zapisane, a filtr wyświetlania działa na już złapanych danych. Mylenie składni to klasyk.
  • HTTPS jest zaszyfrowany. Zobaczysz, że ruch leci, ale treści nie odczytasz bez kluczy sesji (TLS) — Wireshark nie „łamie” szyfrowania.
  • Sniffowanie cudzego ruchu bywa nielegalne. Słuchaj sieci, do której masz prawo dostępu, nie firmowego Wi-Fi sąsiada.
  • W sieci przełączanej (switch) domyślnie widzisz głównie swój ruch — do podsłuchu reszty potrzeba port mirroring albo trybu monitor na Wi-Fi.

Pojęcia powiązane: tcpdump, libpcap i Npcap, protokoły TCP/IP, model OSI, handshake TCP, BPF, port mirroring, tshark.